最終更新日 2018年3月6日

HoeflerText font wasn't foundでウイルス感染 フォントexeはランサムウェア

イメージ 4

Chromeユーザーさん、偽通知にダマされないで!

米セキュリティ会社 Proofpoint inc. によると、悪意のある第三者に 改ざん被害を喰らってる正規の一般サイト に Windows 向けブラウザ Google Chrome でアクセスすると

HoeflerText フォントが見つからない

という、もっともらしいウソの口実で不正な実行ファイルをダウンロードするよう仕向ける巧妙な攻撃手口が確認されてるとか。 <ウイルスの自爆感染を狙う

EITest Nabbing Chrome Users with a “Chrome Font” Social Engineering Scheme - Proofpoint
https://www.proofpoint.com/us/threat-insight/post/EITest-Nabbing-Chrome-Users-Chrome-Font-Social-Engineering-Scheme

HoeflerTextフォントが見つからない!?

調査のため、現物で動作確認してみました。 <いずれも怪しいサイトではない

イメージ 6
Chrome でフォントが足らない?

イメージ 1
HoeflerText フォント!? Chrome Font Pack!?

イメージ 5
改ざんサイトでマルウェア感染誘う偽通知

The "HoeflerText" font wasn't found.
The web page you are trying to load is displayed incorrectly, as it uses the "HoeflerText" font. To fix the error and display the text, you have to update the "Chrome Font Pack". FireflyFramer
Manufacturer: Google Inc. All Rights Reserved
Current version: Chrome Font Pack 53.0.2785.89
Latest version: Chrome Font Pack 57.2.5284.21 [Update]
【日本語の意味】
「HoeflerText」 フォントが見つかりません。読み込もうとするウェブページは「HoeflerText」 フォントを使用してるので、正常に表示されませんでした。エラーを修正して本文を表示するには 「Chrome Font Pack」 を更新する必要があります。 無題な濃いログ

  • 改ざん被害を喰らってるであろう一般サイトに Chrome ブラウザで普通にアクセスする (WordPress など CMS で運用されてるウェブサイト)

  • アクセス直後にページ全体が薄暗く暗転し、中央に Chrome ブラウザの通知ダイアログっぽいものが出現する (通知の右上には本物の Chrome ロゴマークも…)

  • 英語のメッセージで 『HoeflerText フォントが見つからない。文章を正常に表示したけりゃ Chrome Font Pack の更新して』 と書かれてある

凝ってて面白いのが、ページ上のオリジナル文字列が 『ひし形×?マーク』 の記号に変換されていて、文字化けの現象が発生してるダミーの演出 がバックグラウンドで行われるところでしょう。

そもそも、Chrome Font Pack なるブツはこの世に実在しません!

ページの文字化けという ”不具合” を見せて、架空の Chrome Font Pack を更新するよう説得力を持たせた上で、攻撃者の意図した通りにユーザーの心を操って誘導するには十分すぎるトラップかもしれません。


偽通知の対処方法はタブを閉じる

偽通知 『The ”HoeflerText” font wasn't found』 のダイアログが目の前にいきなり突然表示された場合のベストプラクティスは?

ハッキングされてる正規の一般サイトにたまたま運悪くアクセスしただけなので、何もしないで Chrome ブラウザのタブを閉じる ことで問題ありません。 <対応すべきはサイト運営者の方

イメージ 11

  • [ESC] キーをポチッ → ブラウザのダイアログを消す

  • [CTRL + W] キーの同時押し → ブラウザのタブを閉じる

なお、改ざんサイトは日本国内を始め、世界中に複数存在するので、怪しいサイトやアダ*トサイトにアクセスしない、といった前世代的なウイルス対策ではサッパリ意味ありません。

Google のセーフ ブラウジング テクノロジーは、1 日に数十億もの URL を調査して、安全ではないウェブサイトを探しています。安全ではないウェブサイトは毎日新たに数千件も見つかります。その多くは、正当なウェブサイトが不正使用されたものです。
https://transparencyreport.google.com/safe-browsing/

実行ファイル.exeの起動を誘う

最初の HoeflerText 通知ダイアログの右下に見える青い [Update]ボタン をポチッと押すとどうなる?

そのまま、次の画面に移ります。

イメージ 2
ブラウザ左下のファイルを起動するよう↓マークで指示

The "HoeflerText" font wasn't found.
Step 1: In the bottom left corner of the screen you'll see the download bar. Click on the {Chrome_Font.exe / Font_Update.exe} item. FireflyFramer
Step 2: Press Yes(Run) in order to see the correct content on the web page.
[Update]

ここには 『ページのコンテンツを正しく表示するため』 として、ダウンロードされたファイルを起動するよう、図入りの指示が書かれてあります。

この時にダウンロードされてる Windows 向け実行ファイル拡張子 .exe)は、HoeflerText フォントを表示するための Chrome Font Pack ではありません!

イメージ 9

イメージ 3
開くよう促される実行ファイルの画像
Chrome Font Update exe

【ダウンロードされるファイル名の例】
Chrome_Font.exe / Font_Update.exe / Update.exe / Chrome Font.exe / Chrome Font v[数字].[数字].exe / Chrome font v[数字].[数字].exe / Chrοme fοnt.exe / Chrome Ϝont.exe / Chrоme Fоnť.exe / Chrоmе fonṫ.exe / Ϲһromе fоnṫ.exe / Chrοmе fοnṫ.exe / Chrоme fonť.exe / Ϲһrоmе fоnƫ.exe / ϹҺrơmе font.exe / Font_Chrome.exe / Font_update.exe / Font update.exe FireflyFramer
★改ざんサイトの調査で収集したファイル名

それこそ、道に落ちてる食べ物を拾い食い するようなものです。

このファイルは完全なる マルウェア であり、HoeflerText を表示するための Chrome Font Pack と思い込んで起動する Windows ユーザーさんは感染アウトとなります。

ランサムウェア感染でファイル開けない

この実行ファイルの正体は、Windows パソコンを動作環境とする脅威 ランサムウェア(身代金型ウイルス) が特に多い?

手元で確認したランサムウェアは具体的にこんなヤツら。

イメージ 8
感染するランサムウェアの1つ
ファイル破壊で脅迫するウィンドウ画面

  • GandCrab

  • Mole Ransomware

  • NetSupport Manager
    ランサムウェアではなく遠隔操作ソフト、特定の国に絞って配信されるようで日本は感染対象に含まれてない模様?

  • Spora Ransomware → 2017年半ばに活動終了

  • Merry X-Mas Ransomware → 2017年上半期中に活動終了

これらランサムウェアを喰らうと深刻な事態… ってか 地獄の光景 です。

PC 内の大事な文書や写真データなど破壊し尽し、ユーザーが異変に気づいた時にはファイルが開けない状態で、ファイルを元に戻すため身代金を支払うよう要求するのがランサムウェアになります。

なお、ランサムウェア攻撃者は、セキュリティ製品のウイルス定義データで検出されない新鮮な亜種検体を随時配信する体制で臨んでくるはずで、くれぐれも注意してください。

Chrome 向けウイルス対策

このブラウザ偽通知の攻撃は、フォント名目の実行ファイルが半自動的にダウンロードされてしまうので危なっかしいです。

いちおう、ウイルス感染となる直前にユーザーの意思の確認はあります。

イメージ 10
素性不明のファイルを本当に起動してもいい?
実行ファイル起動直後の Windows セキュリティ警告

そこで、Chrome でファイルをダウンロードする直前に 「ファイルの保存ダイアログ」 を表示するよう設定して、踏みとどまるチャンスを用意するのもオススメです。

イメージ 7
Chrome の勝手にダウンロードは無効にする?

【ファイルの強制ダウンロードを無効にする】
Chrome の [設定] → 下部の [詳細設定] → ダウンロードにある 「ダウンロード前に各ファイルの保存場所を確認する」 を有効にする 無題な濃いログ

ただ、こうしておいても人間が騙されてる、…頭の中でフォントを表示するための Font Pack と完全に誤解していれば、もうどうにもこうにも厳しいです。

関連するブログ記事